王蔚

(北京太极信息系统技术有限公司，北京 100102)

0 引言

信息安全风险评估对于保障信息安全十分重要。开展信息安全风险评估，需要确定所依据的标准和所采用的评估方法[1]。本文旨在研究相关标准依据和现有评估方法，针对评估中可能出现的主观偏好影响，提出基于有序加权和熵权的信息安全风险评估方法。本文研究思路是：参考标准确定安全风险评估指标，用专家评分法对若干风险指标进行综合评价；引入有序加权平均法(Ordered Weighted Averaging，OWA)进行评价者权重调整，以弱化因主观因素给出的极高和极低值影响；引入熵权法(Entropy Weight Method， EWM)进行客观的指标赋权，以减少人为设置指标权重的主观影响。

1 信息安全风险评估概况

1.1 信息安全风险评估标准

目前，最具代表性的信息安全风险评估标准是CC、BS7799和中国信息安全标准。

(1)CC。CC的全称为《信息技术安全性评估通用准则》，由北美和欧盟合作开发，是目前最全面的信息技术安全评估准则。1999年，CC标准被国际标准化组织(ISO)正式批准为国际标准ISO/IEC 15408并公布执行[2-3]。

(2)BS7799。BS7799的全称为《信息安全管理实施细则》，由英国标准协会(BSI)编写，是在信息安全管理体系方面应用最广泛与典型的信息安全管理标准。2000年，BS7799标准的第一部分被ISO正式批准为国际标准ISO/IEC 17799并公布执行[4]。

(3)中国信息安全标准。中国信息安全标准从总体上划分为基础标准、技术与机制标准、管理标准、测评标准、密码技术标准和保密技术标准六大类，已发布各类标准共计160余部，还有若干部标准正在开发当中。其中，标准《信息技术安全性评估准则》(GB/T 18336)[5-7]等同采用国际标准ISO/IEC15408；《信息安全技术 信息安全管理实用规则》(GB/T 19716)[8]等同采用国际标准ISO/IEC 17799。专门针对信息安全风险评估的标准是《信息安全技术 信息安全风险评估规范》(GB/T 20984)。

1.2 信息安全风险评估方法

国内外很多学者将其他领域一些经典、成熟的风险评估方法应用到信息安全风险评估中，并取得了一系列成果。张利等[9]对信息安全风险综合评估方法进行了综述；方阳[10]将层次分析法和D-S证据理论应用于电信网网络安全风险评估模型；赵冬梅[11]研究了信息安全风险的量化评估方法；刘昱[12]探讨了信息安全评估的指标体系；吴坚[13]分析了基于算子理论的混合型多属性群决策方法。另外，还有多名学者开展了信息安全风险评估相关研究。各风险评估方法的特点与适用范围均有所不同，其中专家打分法在风险评估中应用广泛，是一种行之有效的评估方法，但也存在一定局限性：一是存在评价者打分的主观影响；二是存在指标权重的主观影响。

2 基于有序加权和熵权的信息安全风险评估方法

本文提出的基于有序加权和熵权的信息安全风险评估方法是一种改进的专家评分法，通过引入有序加权平均法进行评价者权重调整，弱化因主观因素给出的极高值和极低值影响；通过引入熵权法进行客观的指标赋权，减少人为设置指标权重的主观影响。

该方法的基本步骤是：①参考信息安全风险评估规范确定信息安全风险评估指标；②引入有序加权平均法(OWA)进行评价者权重调整，引入熵权法(EWM)进行指标赋权；③通过综合评价给出风险评估结果。

2.1 信息安全风险评估指标

本方法确定信息安全风险评估指标的依据是《信息安全技术 信息安全风险评估规范》(GB/T 20984)。

风险分析涉及三个基本要素：资产、威胁、脆弱性。风险分析需要确定信息资产的识别及赋值、资产的脆弱性分析、威胁情况及发生的概率等方面的内容。风险分析原理如图1所示。

(1)资产识别。资产是指对信息系统的使用单位具有价值的各类信息或资源，是安全策略保护的对象。根据标准中基于表现形式的分类方法，资产分为6类，如图2所示。

(2)威胁识别。威胁是指可能对资产或系统安全造成损害的潜在原因，包括威胁主体、能力、动机、途径、可能性和后果等属性。根据标准中基于表现形式的分类方法，威胁分为11类，如图3所示。

(3)脆弱性识别。脆弱性是指能被威胁主体利用，对资产造成损害的薄弱点，可分为技术脆弱性和管理脆弱性。

综上，通过对信息系统的资产、威胁、脆弱性分析，识别出系统重要的风险因素，作为评价指标，见表1。

表1 风险评价指标

2.2 有序加权平均法

为了降低专家打分法中的主观因素影响，本文引入有序加权平均法(OWA)进行评价者权重调整，以弱化因主观因素给出的极高值和极低值影响。

OWA理论是一种根据数据排序位置确定权重的信息融合方法，由美国学者Yager提出。该方法权重只和数值信息的位置有关，可以较好地解决一些不合理问题[14-15]。

利用OWA理论解决问题的重点是对于位置权重向量的确定。根据已有研究，本文选择等差数列赋权法。公式为

2.3 熵权法

本文引入熵权法(EWM)进行评价指标赋权，以减少人为设置指标权重的主观影响。

熵权法是基于信息熵原理提出的一种客观评价指标的权重方法。与人为设置指标权重不同，熵权法根据评价数据来相对客观地设置权重。信息熵由信息论创始人香农提出，反映信息的不确定程度。熵越大，无序程度越高，信息丢失越多，所得到的信息量越少。熵权法就是依据该原理发展出来的权重确定方法。某评价指标的信息熵越小，表明该指标所提供的信息量越大，在系统综合评价中所发挥的作用越大，所赋予的权重也越大。

熵权法的处理步骤为：

(1)根据原始评分表，对数据进行标准化处理。

设确定的风险评价指标有n个、评价人员为m名，初始评价值矩阵为

V=(vij)m×n

式中，i=1，2，…，m；j=1，2，…，n；vij=1，2，…，25(vij为评分值，该评分值的取值范围参考标准设置)。

标准化处理的方式为：采用最大最小归一化方法，将原始数据转换到[0 1]的范围。归一化公式为

其中

(2)计算各指标的信息熵。公式如下

其中

当pij=0时，令pijlnpij=0。

(3)确定各指标的熵权。公式如下

计算所有指标的熵权，得出评价指标的权重列向量如下

W=(w1,w2,…,wn)T

2.4 综合评价

根据调整后的评分向量V*和评价指标的权重列向量W即可计算出风险值R

根据表2所示，将风险值转换为风险等级。

表2 风险等级表

利用本文研究的基于有序加权和熵权的信息安全风险评估方法，可开展三种方式的评价：

(2)整体风险量化评价。利用综合评价风险值R对整体风险进行量化评价，可用于多系统风险的量化比较。

(3)整体风险等级评价。评价系统的整体风险等级。

3 实例分析

以某企业信息系统的信息安全评估为例，对本文提出的评估方法进行分析。实例中针对被评系统所确定的信息安全风险因素(评估指标)见表3，专家做出的原始评分见表4。

表3 信息安全风险评估指标表

表4 信息安全风评估原始评分表

OWA调整前后的风险指标评分表见表5。风险评估指标的信息熵和熵权见表6。评估结果：综合风险值为12.05，风险等级为3，整体风险为中等。从表5可以看出，R1、R7、R10、R11的风险值较高。

在算法方面，对比表5中OWA调整前和调整后的指标评分可以看出，OWA算子弱化了原始评分中极高值和极低值的影响，R8指标的调整较为明显。在指标熵权方面，从表6中的指标信息熵和熵权可以看出，熵权根据指标的信息熵而得到，信息熵最小的、不确定性最低的指标R7得到的权重最高。

表5 信息安全风险估指标评分表

表6 指标信息熵和熵权表

4 结语

本文依据信息安全相关标准建立了信息安全风险评估指标体系，并提出了基于有序加权和熵权的信息安全风险评估方法。实例分析表明，OWA算子弱化了原始评分中极高值和极低值的影响，从评分的角度降低了主观偏好的影响；通过熵权法根据评价数据的信息熵确定指标权重，从指标权重的角度减降低了主观因素的影响。值得注意的是，由于方法中指标权重完全由数据决定，特殊情况下通过信息熵得到的权重可能与平时的直观认识有所不同。